Una velikih laži i mitova koje obično čujemo i čitati vrlo često je to u "Linux nema virusa", "Linux nije meta hakera" i ostale stvari vezane za "Linux je imun", što je totalno lažno...
Što ako možemo staviti pola istine, a pola laži, jest da Linux nema istu količinu zlonamjernog softvera i hakerskih napada. To je zbog jednostavnog i jednostavnog razloga, budući da na tržištu linuxa ne predstavlja ni 10% svih stolnih računala, tako da u osnovi nije isplativo (da tako kažem) trošiti veliku količinu vremena i truda.
Ali daleko od toga, to nije dalo ton broj zaraza zlonamjernim softverom usmjerenim na Linux uređaje nastavlja rasti a to je da je za ono što je bilo 2021. iznos povećan za 35% i to zato što se IoT uređaji češće prijavljuju za DDoS napade (distribuirano uskraćivanje usluge).
IoT su često "pametni" uređaji male snage koji pokreću različite distribucije Linuxa i ograničeni su na određenu funkcionalnost. Ali ipak, kada se njihovi resursi spoje u velike grupe, mogu pokrenuti masivne DDoS napade čak i u dobro zaštićenoj infrastrukturi.
Osim DDoS-a, Linux IoT uređaji se regrutiraju za rudarenje kriptovalute, olakšavaju spam kampanje, djeluju kao releji, djeluju kao zapovjedni i kontrolni poslužitelji ili čak djeluju kao ulazne točke u podatkovne mreže.
Izvještaj iz Crowdstrikea analiza podataka o napadima iz 2021. sažima sljedeće:
- U 2021. zabilježen je porast zlonamjernog softvera koji cilja na Linux sustave od 35% u odnosu na 2020. godinu.
- XorDDoS, Mirai i Mozi bile su najraširenije obitelji koje su činile 22% svih napada zlonamjernog softvera usmjerenih na Linux koji su zabilježeni u 2021.
- Mozi je, posebno, doživio eksplozivan rast poslovanja, s deset puta više uzoraka koji su cirkulirali u prošloj godini u odnosu na godinu prije.
- XorDDoS je također zabilježio značajan porast od 123% u odnosu na prethodnu godinu.
Osim toga, pruža kratak opći opis zlonamjernog softvera:
- XordDoS: je svestrani Linux trojanac koji radi na više arhitektura Linux sustava, od ARM (IoT) do x64 (poslužitelji). Koristi XOR enkripciju za C2 komunikacije, otuda i njegovo ime. Prilikom napada na IoT uređaje, brute force XorDDoS ranjive uređaje putem SSH-a. Na računalima s Linuxom, koristite port 2375 da biste dobili root pristup hostu bez lozinke. Značajan slučaj distribucije zlonamjernog softvera prikazan je 2021. nakon što je primijećeno da je kineski akter prijetnje poznat kao "Winnti" implementirao zajedno s drugim spin-off botnetima.
- Mozi: je P2P (peer-to-peer) botnet koji se oslanja na sustav Distributed Hash Table Lookup (DHT) za skrivanje sumnjivih C2 komunikacija od rješenja za praćenje mrežnog prometa. Ovaj konkretni botnet postoji već neko vrijeme, neprestano dodajući nove ranjivosti i proširujući svoj doseg.
- Izgled: to je ozloglašeni botnet koji je iznjedrio mnoge vilice zbog svog javno dostupnog izvornog koda i nastavlja mučiti svijet IoT-a. Različiti derivati implementiraju različite C2 komunikacijske protokole, ali svi često zloupotrebljavaju slabe vjerodajnice kako bi se nametnuli u uređaje.
Nekoliko značajnih Mirai varijanti pokriveno je 2021., kao što je "Dark Mirai", koji se fokusira na kućne usmjerivače, i "Moobot", koji cilja na kamere.
"Neke od najčešćih varijanti koje slijede istraživači CrowdStrikea uključuju Sora, IZIH9 i Rekai", objašnjava Mihai Maganu istraživač CrowdStrikea u izvješću. "U usporedbi s 2020., broj identificiranih uzoraka za ove tri varijante porastao je za 33%, 39%, odnosno 83% u 2021."
Crowstrikeovi nalazi nisu iznenađujući, kao potvrđuju kontinuirani trend koji se pojavio prethodnih godina. Na primjer, izvješće Intezera koje se bavi statistikom za 2020. pokazalo je da su obitelji zlonamjernog softvera za Linux porasle za 40% u 2020. u odnosu na prethodnu godinu.
U prvih šest mjeseci 2020. došlo je do znatnih 500% porasta zlonamjernog softvera Golang, što pokazuje da pisci zlonamjernog softvera traže načine kako da njihov kod funkcionira na više platformi.
Ovo programiranje, a time i trend ciljanja, već je potvrđeno u slučajevima početkom 2022. i očekuje se da će se nastaviti nesmanjeno.
izvor: https://www.crowdstrike.com/
razlika je u tome što se nulti dan na linuxu obično zakrpi za manje od tjedan dana (najviše), a na Windowsima se neki nikada ne riješe.
Razlika je u tome što Linuxova arhitektura i sustav dozvola znatno otežavaju dobivanje povišenih dopuštenja s korisničkog računa...
A razlika je u tome što većinu ovog posla obavljaju volonteri otvorenog koda, a ne velike korporacije koje stvaraju vlasnički kod kako bi sakrile od nas ono što se događa ispod. Opensource se lako može revidirati.
Ali hej, u jednoj ste stvari u pravu, ako se vaši korisnici povećaju, resursi za njihov napad i istraživanje ranjivosti će se povećati ako s tim možete dobiti ekonomske povrate.
Stoga je dobra vijest da je zlonamjerni softver za Linux u porastu. :)
A u IoT-u će biti 100% kriv proizvođač, patch za mnoge Xiaomi usmjerivače koji koriste OpenWRT objavljen je 2 dana nakon što ih je zarazio Mirai, Xiaomi je ažuriran svaki tjedan. Mnogi drugi poput TP-Link-a koji također koriste OpenWRT nikada nisu ažurirani
Do danas postoje perilice zaražene Miraijem i nisu ažurirane, jer su samo zakrpa koju moraju pokrenuti
Kao što se dogodilo s HP poslužiteljima, nikada nisu zakrpili Javu i to je bila pokrivena ranjivost prije 2 godine